構成のロギング

構成ログは、サイト構成の変更と管理アクティビティをデータベースに記録する機能です。この機能はデフォルトで有効になっています。ログに記録されたコンテンツは、次の目的で使用できます。

• 構成変更後の問題の診断とトラブルシューティング。ログは追跡記録を提供します。
• 変更管理を支援し、構成を追跡する。
• 管理アクティビティを報告する。

構成ログ設定の指定、構成ログの表示、およびHTMLとCSVレポートの生成は、Citrix Studioから行います。構成ログの表示は、日付範囲と全文検索結果でフィルターできます。必須ログが有効になっている場合、ログに記録できない構成変更は行えません。適切な権限があれば、構成ログからエントリを削除できます。構成ログ機能を使用してログコンテンツを編集することはできません。

構成ログは、PowerShell SDKと構成ログサービスを使用します。構成ログサービスは、サイト内のすべてのControllerで実行されます。1つのControllerに障害が発生した場合、別のControllerのサービスが自動的にログ要求を処理します。

デフォルトでは、構成ログ機能は有効になっており、サイト作成時に作成されるデータベース（サイト構成データベース）を使用します。データベースの場所を別の場所に指定することもできます。構成ログデータベースは、サイト構成データベースと同じ高可用性機能をサポートしています。

構成ログへのアクセスは、委任管理を通じて制御され、「ログ設定の編集」および「構成ログの表示」の権限が必要です。

構成ログは、作成時にローカライズされます。たとえば、英語で作成されたログは、閲覧者のロケールに関係なく、英語で読み取られます。

ログに記録される内容

Studio、Director、およびPowerShellスクリプトから開始された構成変更と管理アクティビティがログに記録されます。ログに記録される構成変更の例には、次のものとの連携（作成、編集、削除、割り当て）が含まれます。

• マシンカタログ
• デリバリーグループ（電源管理設定の変更を含む）
• 管理者ロールとスコープ
• ホストリソースと接続
• スタジオを介したCitrixポリシー

ログに記録される管理上の変更の例を次に示します。

• 仮想マシンまたはユーザーデスクトップの電源管理
• StudioまたはDirectorがユーザーにメッセージを送信する

次の操作はログに記録されません。

• 仮想マシンのプール管理電源投入などの自律操作。
• グループポリシー管理コンソール (GPMC) を介して実装されたポリシーアクション。これらのアクションのログを表示するには、Microsoftツールを使用します。
• レジストリ、データベースへの直接アクセス、またはStudio、Director、PowerShell以外のソースを介して行われた変更。
• 展開が初期化されると、最初の構成ログサービスインスタンスが構成サービスに登録されたときに構成ログが利用可能になります。したがって、構成の初期段階（たとえば、データベーススキーマが取得および適用されたとき、ハイパーバイザーが初期化されたときなど）はログに記録されません。

構成ログの管理

デフォルトでは、構成ログはサイトの作成時に作成されるデータベース（サイト構成データベースとも呼ばれます）を使用します。Citrixは、次の理由により、構成ログデータベース（および監視データベース）に別の場所を使用することを推奨します。

• 構成ログデータベースのバックアップ戦略は、サイト構成データベースのバックアップ戦略とは異なる可能性があります。
• 構成ログ（および監視サービス）のために収集されるデータ量によって、サイト構成データベースで利用可能な領域に悪影響が及ぶ可能性があります。
• これにより、3つのデータベースの単一障害点が分割されます。

構成ログをサポートしない製品エディションには、Studioにログノードがありません。

構成ログと必須ログの有効化と無効化

デフォルトでは、構成ログは有効になっており、必須ログは無効になっています。

1. Web Studioにサインインし、左ペインでログを選択します。
2. アクションバーで設定を選択します。構成ログダイアログボックスには、データベース情報が含まれており、構成ログと必須ログが有効か無効かを示します。

3. 目的のアクションを選択します。

   構成ログを有効にするには、有効にするを選択します。これがデフォルト設定です。データベースに書き込めない場合、ログ情報は破棄されますが、操作は続行されます。

   構成ログを無効にするには、無効にするを選択します。以前にログが有効になっていた場合、既存のログはPowerShell SDKで読み取り可能です。

   必須ログを有効にするには、データベースが利用できない場合にサイト構成の変更を防止するを選択します。通常ログに記録される構成変更または管理アクティビティは、構成ログデータベースに書き込める場合にのみ許可されます。必須ログは、構成ログが有効になっている場合（有効にするが選択されている場合）にのみ有効にできます。構成ログサービスが失敗し、高可用性が使用されていない場合、必須ログが想定されます。そのような場合、通常ログに記録される操作は実行されません。

   必須ログを無効にするには、データベースが利用できない場合にサイト構成の変更を許可するを選択します。構成ログデータベースにアクセスできない場合でも、構成変更および管理アクティビティが許可されます。これがデフォルト設定です。

構成ログデータベースの場所を変更する

必須ログが有効になっている場合、データベースの場所を変更することはできません。場所の変更には、ログに記録できない短い切断間隔が含まれるためです。

1. サポートされているSQL Serverバージョンを使用して、データベースサーバーを作成します。
2. Web Studioにサインインし、左ペインでログを選択します。
3. アクションバーで設定を選択します。
4. 「ログ設定」ダイアログボックスで、「ログデータベースの変更」を選択します。
5. 「ログデータベースの変更」ダイアログボックスで、新しいデータベースサーバーを含むサーバーの場所を指定します。有効な形式については、「データベースアドレス形式」を参照してください。
6. Studioでデータベースを作成するには、「OK」をクリックします。プロンプトが表示されたら「OK」をクリックすると、データベースが自動的に作成されます。Studioは、現在のStudioユーザーの資格情報を使用してデータベースへのアクセスを試行します。失敗した場合は、データベースユーザーの資格情報の入力を求められます。その後、Studioはデータベーススキーマをデータベースにアップロードします（資格情報はデータベース作成中のみ保持されます）。
7. データベースを手動で作成するには、「データベーススクリプトの生成」をクリックします。生成されたスクリプトには、データベースを手動で作成するための手順が含まれています。スキーマをアップロードする前に、データベースが空であり、少なくとも1人のユーザーがデータベースにアクセスして変更する権限を持っていることを確認してください。

以前のデータベースの構成ログデータは、新しいデータベースにはインポートされません。ログを取得する際に、両方のデータベースからログを集約することはできません。新しい構成ログデータベースの最初のログエントリは、データベースの変更が発生したことを示しますが、以前のデータベースを特定するものではありません。

構成ログコンテンツの表示

構成ログコンテンツを表示するには、左ペインで「ログ」を選択し、「イベント」タブを選択します。

デフォルトでは、イベントログは管理者名で一覧表示されます。必要に応じて、次のタスクを実行できます。

• ログの詳細を表示します。高レベルの操作は、1つ以上のサービスおよびSDK呼び出し（低レベルの操作）をもたらします。上部ペインで高レベルの操作を選択すると、下部ペインに低レベルの操作が表示されます。
• 表示を並べ替えます。列ヘッダーをクリックして表示を並べ替えます。
• ログをフィルターします。日単位の間隔やカスタム期間などのフィルター条件を設定するか、検索ボックスにメインタスクの完全または部分的な名前を入力して、表示を絞り込みます。検索を使用した後に標準表示に戻るには、検索ボックスのテキストをクリアします。
• ログをエクスポートします。選択したログまたはすべてのログをCSVファイルにエクスポートして、アーカイブまたは詳細な分析を行います。
• 列をカスタマイズします。クライアントIPやラベルなどの非デフォルト列を追加して、表示をニーズに合わせて調整します。
• ラベルを管理します。イベントログのラベルを追加、編集、削除して、ログの整理と追跡を強化します。

表示の特性:

• 操作が完了する前に失敗した場合、ログ操作がデータベースで完了しない可能性があります。たとえば、開始レコードに対応する停止レコードがない場合などです。そのような場合、ログには情報が不足していることが示されます。時間範囲に基づいてログを表示すると、データが基準に一致する場合、不完全なログが表示されます。

  たとえば、過去5日間のログを要求し、過去5日間に開始時刻があり、終了時刻がないログは含まれます。

• PowerShellコマンドレットを呼び出すスクリプトを使用する場合、親となる上位レベルの操作を指定せずに下位レベルの操作を作成すると、構成ログは代替の上位レベルの操作を作成します。

レポートの生成

構成ログデータを含むCSVおよびHTMLレポートを生成できます。

• CSVレポートには、指定された時間間隔のすべてのログデータが含まれます。データベース内の階層データは、単一のCSVテーブルにフラット化されます。ファイル内のデータのどの側面も優先されません。フォーマットは使用されず、人間が読み取れることは想定されていません。ファイル（MyReportという名前）には、普遍的に利用可能な形式でデータが含まれています。CSVファイルは、データのアーカイブや、Microsoft Excelなどのレポート作成ツールやデータ操作ツールのデータソースとしてよく使用されます。
• HTMLレポートは、指定された時間間隔のログデータを人間が読み取れる形式で提供します。変更を確認するための構造化されたナビゲート可能なビューを提供します。HTMLレポートは、SummaryとDetailsという2つのファイルで構成されます。Summaryには、各操作がいつ、誰によって行われ、どのような結果になったかという上位レベルの操作が一覧表示されます。各操作の横にある詳細リンクをクリックすると、Detailsファイル内の下位レベルの操作に移動し、追加情報が表示されます。

構成ログレポートを生成するには、Studioナビゲーションペインでログを選択し、次にアクションバーでカスタムレポートの作成を選択します。

• レポートの日付範囲を選択します。
• レポート形式（CSV、HTML、または両方）を選択します。
• レポートを保存する場所を参照します。

構成ログコンテンツの削除

構成ログを削除するには、特定の委任管理権限とSQL Serverデータベース権限が必要です。

• 委任管理: 展開構成の読み取りを許可する委任管理ロールが必要です。フル管理者ロールにはこの権限があります。カスタムロールには、その他の権限カテゴリで「読み取り専用」または「管理」が選択されている必要があります。

  構成ログデータを削除する前にバックアップを作成するには、カスタムロールには、ログ権限カテゴリで「読み取り専用」または「管理」も選択されている必要があります。

• SQL Serverデータベース: データベースからレコードを削除する権限を持つSQL Serverログインが必要です。これを行うには、2つの方法があります。

  • データベースサーバー上のあらゆるアクティビティを実行できるsysadminサーバーロールを持つSQL Serverデータベースログインを使用します。あるいは、serveradminまたはsetupadminサーバーロールを使用すると、削除操作を実行できます。

  • 展開でより高いセキュリティが必要な場合は、データベースからレコードを削除する権限を持つデータベースユーザーにマッピングされた非sysadminデータベースログインを使用します。

    1. SQL Server マネジメントスタジオ で、「sysadmin」以外のサーバーロールを持つ SQL Server ログインを作成します。
    2. ログインをデータベース内のユーザーにマッピングします。SQL Serverは、ログインと同じ名前のユーザーをデータベースに自動的に作成します。
    3. データベースロールメンバーシップで、データベースユーザーのロールメンバーの少なくとも1つを指定します: ConfigurationLoggingSchema_ROLEまたはdbowner。

    詳細については、SQL Server Management Studioのドキュメントを参照してください。

構成ログを削除するには:

1. Web Studioにサインインし、左ペインで「ログ」を選択します。
2. アクションバーで「ログの削除」を選択します。
3. ログを削除する前にバックアップを作成するかどうかを尋ねられます。バックアップを作成することを選択した場合は、バックアップアーカイブが保存される場所に移動します。バックアップはCSVファイルとして作成されます。

構成ログがクリアされた後、ログの削除は空のログに投稿される最初のアクティビティです。そのエントリには、誰がいつログを削除したかに関する詳細が記載されています。

エーピーアイ および パワーシェル ログを表示

現在のセッション中に作成されたAPIリクエストを監視するには、「API」タブをクリックします。Web Studioからサインアウトすると、APIログはクリアされます。

その日に行ったUIアクションに対応するPowerShellコマンドを表示するには、「PowerShell」タブをクリックします。

構成ログにメタデータを関連付ける

ログレコードに MetadataMap と呼ばれる name-value ペアを関連付けることで、構成ログにメタデータを添付できます。

注：

• メタデータは、高レベルの操作オブジェクトにのみ添付できます。
• メタデータは、実行時に既存のレコードに関連付けられます。

メタデータを設定する

MetadataMap にログレコードを関連付けるには、PowerShell コマンド Set-LogHighLevelOperationMetadata を実行します。 Set-LogHighLevelOperationMetadata は次のパラメーターを受け取ります。

• Id: 高レベル操作の ID。
• InputObject: メタデータを追加する高レベル操作。これは、高レベル操作オブジェクトまたはオブジェクトのリストが PowerShell コマンドに渡される Id パラメーターの代替です。

• Name: 追加するメタデータのプロパティ名。プロパティは、指定された高レベル操作に対して一意である必要があります。プロパティには、次の文字 ()\/;:#.*?=<>

  []”’ を含めることはできません。

• Value: プロパティの値。
• Map: プロパティの (名前、値) ペアの辞書。これは、-Name および -Value パラメーターを使用してメタデータを設定する代替手段です。

たとえば、Id 40 のすべての高レベルログレコードにメタデータを添付するには、次の PowerShell コマンドを実行します。

Get-LogHighLevelOperation – Id 40 | Set-LogHighLevelOperationMetadata -Name A -Value B

ユーザー abc@example.com を持つ高レベルレコードにメタデータを添付するには、次の PowerShell コマンドを実行します。

Get-LogHighLevelOperation – User `abc@example.com` | Set-LogHighLevelOperationMetadata -Name C -Value D

メタデータによる取得

関連付けられたメタデータを使用してログレコードを取得するには、次のPowerShellコマンドを実行します。

• キーと値で検索:

  Get-LogHighLevelOperation -Metadata "Key:Value"

• 値で任意のキーを検索:

  Get-LogHighLevelOperation -Metadata "*:Value"

• キーと任意の値で検索:

  Get-LogHighLevelOperation -Metadata "Key:*"

メタデータを削除

関連付けられたメタデータを削除するには、PowerShellコマンド Remove-LogHighLevelOperationMetadata を実行します。 Remove-LogHighLevelOperationMetadata は次のパラメーターを受け入れます。

• Id: 上位レベルの操作のID。
• InputObject: メタデータを追加する上位レベルの操作。これは、上位レベルの操作オブジェクトまたはオブジェクトのリストがPowerShellコマンドに渡される Id パラメーターの代替です。
• Name: 削除するメタデータのプロパティ名。指定されたオブジェクトのすべてのメタデータを削除するには、$nullに設定します。
• Map: プロパティの (名前、値) ペアの辞書。これは、ハッシュテーブル (@{“name1” = “val1”; “name2” = “val2”} で作成) または文字列辞書 (new-object “System.Collections.Generic.Dictionary[String, String]” で作成) のいずれかです。マップ内のキーと名前が一致するプロパティは削除されます。